汽車系統功能安全架構的設計與發展展望

童菲 尚世亮 熊志剛

（泛亞汽車技術中心有限公司，上海，201201）

主題詞：功能安全 系統功能安全架構 系統架構

0 前言

安全是汽車產品在信息化、集成化、自動化、網絡化和智能化方向發展過程中面臨的核心和關鍵問題，汽車電控系統日趨復雜，新的功能越來越多地觸及到系統安全工程領域，來自系統性失效和隨機硬件失效的風險逐漸增加[1]。此外，智能駕駛車輛中的人員誤用、系統局限以及環境影響也會使電控系統在不發生故障的情況下產生安全風險[2]。因此，如何設計有效的系統安全架構，確保及時探測到潛在風險并可靠執行安全緩解機制[3]，成為汽車系統功能安全以及預期功能安全開發的關鍵點之一[4]。本文將符合功能安全要求的系統架構特征抽取出來，形成系統功能安全架構，從“失效安全”和“失效可運行”兩種功能安全狀態出發，重點研究車載系統功能安全架構在控制、輸入、通信、電源、人機交互以及外部措施等方面的設計與未來發展，為汽車系統功能安全架構的設計提供了有益的參考和借鑒。

1 功能安全對系統架構設計的影響

不論是針對系統性故障及隨機硬件失效的功能安全，還是針對人員誤用、系統局限以及環境影響的預期功能安全，它們的目的都是在潛在安全風險發生時通過一定的緩解機制將系統及時地導向安全狀態。在這個過程中，對潛在風險的識別、安全狀態的定義、緩解機制的設計等都與功能本身有著極為密切的關聯，會對系統架構的設計產生深度影響，須在設計初期就充分考慮功能安全以及預期功能安全的需求，并從系統架構的設計層面就融合這些“安全需求”。

盡管車載功能千變萬化，但在系統架構設計層面，對“冗余性”、“獨立性”等高層面安全需求的架構設計還是有一些共通之處的。本文嘗試將符合這些高層面安全需求的系統架構特征抽取出來，形成系統功能安全架構，著力探討系統功能安全架構的設計與未來發展。

2 汽車系統功能安全架構的分類

依照功能失效后是否需要繼續提供服務來維持安全狀態，車載功能可分為“失效安全（Fail Safe）”和“失效可運行（Fail Operational）”兩種類型。

“失效安全（Fail Safe）”型是指功能失效后可直接進入預定義的安全狀態，無需繼續提供服務也不會產生潛在危害。例如“非預期的失去驅動力“，”電動車窗/尾門失去防夾功能“等。

“失效可運行（Fail Operational）”型是指功能在失效的情況下，即使系統已經轉入預定義的安全狀態，但如果沒能繼續提供基本服務，仍將產生潛在的危害。例如，車輛在運行中突然”失去轉向助力“或者”失去剎車助力“等。當這些情況發生時，如果不能繼續提供一定的轉向助力或制動助力也將導致車輛失去可控性或違背預期的功能設計目標，影響人身安全。

針對上述兩種類型的功能，其系統功能安全架構的設計側重點也有所不同。“失效安全”型系統功能安全架構設計的重點在于如何及時發現功能的失效并確保在故障容錯時間間隔（FTTI）內轉至預定義的安全狀態。“失效可運行型”系統功能安全架構設計的重點在于如何及時發現功能的失效，并及時啟動備用或者冗余系統控制，確保在失效發生后的一段時間內（例如預定義的人員接管時間），系統仍能繼續維持安全相關功能，使車輛處于可控狀態，避免危害的發生。

3 汽車系統功能安全架構設計

3.1 典型的失效安全型系統功能安全架構

典型的“失效安全型“系統功能安全架構是由德國汽車工業協會（VDA）提出的E-Gas架構[5]。E-GAS采用三層架構設計方式，其架構簡化框圖如圖1所示，其中第一層主要運行系統功能，第二層是對系統安全關鍵功能的實時監控，第三層負責對系統運行的底層軟硬件進行實時監控，每一層都有獨立的失效路徑控制，最終通過一定的邏輯組合使得系統快速進入“失效安全狀態”。這種分層的架構設計有助于探測安全相關的失效，并可通過分層失效控制路徑，及時限制或者終止系統的錯誤輸出，讓系統進入安全狀態，避免潛在危害的發生。

圖1 E-GAS簡化框圖

“失效安全”型系統功能安全架構在實際開發中根據系統的其他設計需求可有兩種應用方式。其一是采用多芯片的方式，將“功能層“和”功能監控層“分開布置，例如第一層（功能）布置在芯片#1內，將第二層（對安全關鍵功能）布置在芯片#2內，將第三層（底層軟硬件的監控）分散在芯片#1和#2內，并采用外部Watchdog的方式進行整體把控。需要注意的是，實施安全機制的芯片需要具備較高的ASIL（Automotive Safety Integrity Level）等級，以滿足GB/T 34590.9[6]對于ASIL分解的要求。

另一種是采用單芯片的方式，將“功能層”和“功能監控層“部署在一塊芯片內。這主要歸功于芯片技術的發展，雙核鎖步芯片使得“功能層”和“功能監控層”可以共存于一塊芯片的兩個核中，通過鎖步技術實現兩者的同步，同時保持對功能監控的獨立性。對于高ASIL等級的系統，采用單芯片的部屬方式可以節省成本，因此推廣性較好。

3.2 典型的失效可運行型系統功能安全架構

與“失效安全“型不同，”失效可運行“型系統功能安全架構的設計重點在于識別到安全相關失效后能及時啟動備用/冗余系統控制機制，確保系統在失效發生后的一段時間內仍能繼續維持安全相關的基本功能。針對這類系統，典型的系統功能安全架構設計是”冗余”架構，如圖2所示。與功能安全相關的輸入信號、控制、信號輸出到執行等全過程冗余，兩條鏈路互為備份。正常情況下，系統以其中一條為主控制鏈路，控制主執行器；與此同時另一條備用控制鏈路仍保持工作狀態，但不做控制類輸出（可有通信信號類輸出）或者執行器不執行備用控制器的命令。當主控鏈路出現故障或者違背預期功能需求而引發失效時，備用鏈路會越過（Override）主控鏈路，繼續維持系統運行，達到失效可運行的安全狀態。

圖2 冗余的系統功能安全架構框圖

“冗余”的系統功能安全架構不可避免的導致系統成本的增加，在實際開發中，根據系統的其他設計需求，可有多種實現方式。

（1）“主從式”，即將“失效可運行“型功能分配在兩個控制單元中，其中以控制器#1為主控單元，控制器#2為輔助單元。在運行中，控制器#2保持對控制器#1狀態的實時監控，但不會執行輸出動作，只有當檢測到控制器#1存在危害安全的失效時，才會啟動輸出（如圖3-a中的輸出高電平，繼續維持繼電器吸合），保持系統處于繼續安全狀態。

（2）“并行式“，即將“失效可運行“型功能分配在兩個控制單元和一個執行單元中，通過總線通信保持互相聯系，如圖3-b所示。在運行中，控制器#1和控制器#2均執行控制功能，并互相監控；兩者通過總線報文把控制結果和對自身以及對方的監控結果輸出給執行單元中，最終由執行單元決定執行輸出。這種架構對執行控制單元的功能安全等級要求較高，一般該單元內部也需要有冗余控制和執行的能力。

（3）“分布式“，即將“失效可運行“型功能分配在多個并行控制單元中，并設置一個主控單元，負責監控各控制單元的健康情況，各單元互相之間通過總線通信保持互相聯系。如圖3-c1所示，主控單元（Mas?ter）可以采用輪詢的方式監控各控制單元的工作情況，同時各控制單元也可主動上報自己的失效狀態。”分布式“的系統功能安全架構適用于復雜的多功能系統中，例如部分”失效可運行“型安全功能布置在ECU#1和ECU#2內，而另一部分”失效可運行“型安全功能布置在ECU#2和ECU#n內，采用一個主控單元（Master）對這些ECU進行全局監控，這樣既有利于系統功能安全的整體把控，也充分利用了各ECU的處理資源。隨著芯片技術的發展，多核MCU的出現使得“分布式“的系統功能安全架構也可被布置到單一芯片中，如圖3-c2所示，芯片內部通過SPI（Serial Peripheral Interface）等內部通信實現核間通信，另配有核內watchdog和共用的watchdog實現局部監控和全局監控。

圖3 “失效可運行“型系統功能安全架構的三種實現方式

3.3 系統功能安全架構的輔助設計

除了系統控制，系統功能安全架構的設計還需涵蓋系統的輸入、通信、電源以及人機交互等多方面，甚至可以借助有效的外部措施來構建系統功能安全架構。下文將主要探討系統功能安全架構中的這些輔助設計。

3.3.1 系統輸入

準確的系統輸入是系統能否滿足功能安全目標的首要前提。GB/T 34590.5[7]的附錄中列舉了多種對輸入端口的診斷實現機制。除了部分簡單診斷機制可以通過單路傳感器實現以外，大多數的高診斷覆蓋率機制需要通過一定的系統設計來實現。這里簡要總結系統功能安全架構的典型輸入端設計，如圖4所示。

圖4 典型的系統功能安全架構輸入端設計

圖4 -（a）、（b）、（c）所示的是同類型傳感器冗余輸入的典型架構，其中（a）屬于“同構冗余“，即采用相同的傳感器以及相同的連接方式，兩路信號獨立輸入到處理單元中，例如汽車輪速信號便屬于此類應用；（b）和（c）屬于非完全”同構冗余“，即采用同類型的傳感器，輸出同類型的信號，但不同的位置布置會對信號值產生影響，可能存在差異（b）或者互為反相（c）。

圖4-（d），（e），（f）所示的是不同類型輸入互為冗余的典型架構，可稱為“異構冗余“。其中（d）針對系統輸入的正負極性進行了冗余；（e）采用了不同的輸入信號傳送方式，確保信號內容可以經過硬線輸入或者總線報文抵達處理單元；（f）則是（e）的進一步拓展，先對不同源信號進行預處理，再輸出到處理單元進行對比或融合，例如智能駕駛系統中對前方障礙物的判別就可以同時采用雷達（智能傳感器#1）和攝像頭（智能傳感器#2）輸出的總線數據加以比較和融合，以彌補夜晚對攝像頭的不利或減少金屬物體對雷達波的漫反射所以引起的誤識別。

3.3.2 通信設計

功能安全對各模塊之間的安全相關信號交互提出了端對端（End-to-End，E2E）的保護需求，從信號產生的源頭到信號的發送、被接收以及解析都需要伴隨特定的保護機制，以免安全相關的信號值被破壞，引起潛在危害。在系統功能架構設計中，通信設計也是重要的一環。

對于“失效安全”型系統功能安全架構，較為常用的安全相關信號保護機制是“滾碼（Rolling Count）”以及“校驗和（Checksum）”，它們在信號產生的源頭就被計算出并隨著信號值一起打包到總線通信的報文中，接收方在收到信息的時候先解析其自帶的滾碼及校驗和，以確保當前的信號值的有效性，然后再進入下一個環節（例如信號值合理性判斷等）。應用層需要等到所有的校驗都完成并且通過后才能使用安全信號值。

對于“失效可運行”型系統功能安全架構，僅通過端對端的保護是無法滿足功能安全需求的，因為當關鍵信號意外丟失的情況下，功能可能無法支持“失效可運行”。對于這類信號，須額外設計冗余且獨立的傳送通道，確保信號在傳送過程中沒有單點失效。這將對系統的整體架構產生重大影響，必須提前考慮。

針對傳統的車載通信網絡，典型的冗余通信設計是采用雙路總線發送/接收安全信號。這需要相關模塊支持雙路總線收發機制。當某路信號丟失、延時超標或不可信的情況下，可采用另一路傳送過來的信號，繼續支持“失效可運行”的系統功能。

隨著車載以太網技術的不斷發展，時間敏感網絡（TSN）標準日趨成熟。作為TSN的重要特性之一，“幀的復制和消除”能確保關鍵流量的復本在網絡中以各自的路徑進行傳送，不產生交集，只保留首先到達目的地的任何封包，以實現無縫冗余，達到超高的可靠性目的。未來，車載以太網絡將逐步成為汽車的核心網絡骨干，基于TSN的“幀復制和消除”技術或將逐步成為系統功能安全通信架構設計的主流方向。

3.3.3 電源設計

車載控制器一般使用12 V低壓電源，從功能安全的角度，“丟失低壓電源”是潛在影響系統功能安全的“單點失效”源。沒有低壓供電，所有車載模塊都將無法工作。特別對于“失效可運行”型的功能，非預期的失去供電將直接影響車輛行駛安全。在設計系統功能安全架構的時候，電源的冗余設計也是非常重要的環節。

所有功能安全的方法目的都是在有故障時把系統導向安全狀態[8]，根據“失效可運行”型功能的具體需求，電源的冗余設計可分以下幾種類型：

（1）針對供電失效后僅需短暫功能支持且耗電量較少的情況，例如非預期斷電后繼續完成安全氣囊引爆功能，可以通過增加板載大電容的方式來提前儲能，以支持電源冗余。

（2）針對供電失效后僅需短暫功能支持但耗電量較大的情況，例如非預期斷電后繼續完成緊急電話求助（撥號）功能，可以通過增加板載備用小電池的方式來做電源冗余。

（3）針對供電失效后仍需功能支持的情況，例如L3（SAE J3016[9]自動駕駛技術等級）及以上的智能駕駛對于電源失效后的功能，可以通過增加車載小電池（傳統車輛），或者利用高壓電池通過逆變器后的低壓輸出（新能源車）的方式來做電源冗余。

3.3.4 人機交互（HMI）設計

隨著智能駕駛技術的快速發展，人機交互（HMI）逐漸成為重要的設計領域，尤其是對于低于L3的智能駕駛車輛，當系統出現故障需要被接管時，能否及時、有效的發出HMI提醒將直接影響系統的功能安全狀態。在此類系統功能安全架構的HMI設計中，“失效可運行”是必須滿足的要求，應將“提醒或者警告”通過互相獨立的通道，同時、冗余的傳遞給駕駛員。例如，通過聽覺、視覺、振感，將聲音告警，顯示告警、振動告警獨立、同時、冗余的發送給駕駛員，確保他及時、有效的接收到報警信息，進而采取行動接管車輛。

3.3.5 外部措施

盡管功能安全主要關注電子電器系統的設計，但適當的引入外部措施將有助于合理簡化系統功能安全架構的設計。外部措施可以包括特定的操作步驟、人員的介入、機械裝置、限定工作場景等，例如制定高壓維修流程，設計物理下電機制（例如高壓維修開關MSD）防止維修時高壓觸電；采用特定的機械設計防止尾門意外跌落（合理降低對尾門電機控制的要求）等等。通過這些有效的外部措施，幫助降低相關潛在危害的暴露度（E）和可控度（C），進而降低ASIL等級，合理簡化系統功能安全架構的設計需求。

4 汽車系統功能安全架構的發展趨勢

隨著不斷升級的智能化技術，汽車行業正經歷著前所未有的高速發展。隨著智能化技術復雜程度的增加，智能化需要越來越多的多學科交叉技術來確保安全[10]，也需要從系統工程體系（SoSE）的角度進行頂層設計[11]。傳感器和執行器日趨智能化，控制器則不斷集成化，數據處理將逐步云端化，基于服務的系統架構、機器學習、邊緣計算等智能技術的發展趨勢不可逆，汽車系統功能安全架構也需要不斷革新、不斷進化。一方面，得益于智能化的傳感與執行設備，系統功能安全架構的設計正在往分布式方向不斷發展；另一方面，與云端的交互日益增多，網絡安全與功能安全相互結合也成為一種必然趨勢。

圖5示意了未來汽車系統功能安全架構的簡要框圖。從圖5可以看到，未來汽車將不斷借助-于云端進行大數據的處理，并通過帶有網絡安全保護機制的無線通道與車端控制系統進行雙向數據交互。考慮到云端通信信號時延的不確定性，對于失效可運行的安全功能，車端仍需具備較強大的控制處理能力。在車端，隨著智能傳感器和執行器的功能日趨強大，部分功能可由這些模塊分擔，減輕主控制器的運算負荷，系統的功能安全架構將進一步分布化。對于控制器，一主一副兩個控制單元的設計或將成為趨勢，但在功能分配上，備用控制單元將主要負責失效可運行類的功能，而非全部的安全相關功能冗余，這將有助于合理的降低系統成本。此外，系統功能安全架構在設計的過程中還需要充分考慮到日后車輛通過OTA（Over The Air transmission）技術或者用戶自行付費而打開的新功能，它們有可能會潛在危害車輛功能安全。因此，需要在系統功能安全架構設計的時候預留這些功能的功能安全架構設計（尤其是硬件），以便后續安全的支持車載功能升級。

圖5 未來汽車系統功能安全架構設計框圖

5 結束語與展望

在汽車智能化、互聯化發展趨勢下，車輛安全逐漸成為汽車的核心領域之一。如何設計有效的系統安全架構，確保及時探測到潛在風險并可靠執行安全緩解機制，成為汽車功能安全開發的關鍵點之一。本文從“失效安全”和“失效可運行”兩種類型出發，著重探討了汽車系統功能安全架構的設計以及發展趨勢。未來，隨著汽車智能互聯技術的不斷提升以及對成本控制的需求，系統的功能安全架構或將朝分布式方向快速發展，并充分利用云端、車端的各類機制，合理地實現安全功能冗余，確保車輛的安全。